Mejores prácticas para crear una política IPS inicial

Navega tus respuestas
5

Veo que la mayoría de los IPS disponibles en el mercado vienen con una política básica predefinida en la que los administradores pueden basarse cuando crean su política inicial de IPS. Sin embargo, esta política puede ser insuficiente y el administrador puede necesitar profundizar más. Como tal, ¿cuál es la mejor práctica al crear una política inicial y asegurarse de que no se pierda nada?

Por supuesto, se nos dará una lista de aplicaciones, sistemas operativos, puertos conocidos, etc. en una red y podemos crear una política desde allí; pero lo mantenemos estricto y limitado a la lista que se nos da o nos relajamos un poco para una cobertura de protección más amplia.

Por ejemplo, si un servidor web ejecuta Microsoft IIS pero no FrontPage, ¿habilitamos reglas / firmas para IIS y FrontPage Extensions para asegurarnos de que el IPS podrá detectar los intentos de exploración / prueba de FrontPage?

Además, ¿cómo garantizamos que la facilidad de uso, la funcionalidad y la seguridad, así como el rendimiento del propio IPS no se vean afectados por la política de IPS que hemos creado como algunas de las reglas / firmas en ciertas soluciones de IPS que conozco? tiene impacto de sobrecarga / rendimiento.

    
pregunta Fred1234 31.05.2011 - 17:55
fuente

3 respuestas

3

Normalmente recomendaría implementar su IPS en modo no bloqueado para comenzar con la ejecución de la política predeterminada, más cualquier otra firma o política que se aplique específicamente a lo que se está ejecutando en su red.

Una vez que la política haya estado funcionando por un tiempo y esté satisfecho con lo siguiente

  1. La tasa de falsos positivos
  2. Las estadísticas de rendimiento (caída de paquetes, etc.), especialmente bajo carga alta (pps, rendimiento)
  3. El ajuste que ha hecho para eliminar los falsos positivos

A continuación, debe considerar si ampliar el conjunto de políticas habilitado. Al hacerlo, debe considerar lo siguiente.

  • ¿Tiene control total sobre las aplicaciones \ nodos desplegados en su red?
  • ¿Se le avisará si hay nuevas aplicaciones \ nodos ¿Aparece en su red?

En un escenario ideal, su IPS solo tendrá habilitadas firmas que cubran las aplicaciones que se ejecutan en su red. La ventaja de hacer esto es la siguiente.

  1. Reduce la posibilidad de un falso positivo que bloquea el tráfico legítimo, cuantas menos firmas se habiliten, más bajos son los falsos positivos.

  2. En general, cuanto menor sea el número de firmas habilitadas, mayor será el rendimiento, lo que reducirá las posibilidades de que el tráfico malicioso no sea detectado debido a problemas de rendimiento.

Una vez que hayas hecho esto, deberías considerar habilitar el modo de bloqueo en tu IPS.

    
respondido por el Mark McDonagh 02.06.2011 - 14:15
fuente
2

A menos que tenga un rendimiento u otros problemas, me gustaría comenzar con la política más amplia e integral que pueda. Luego elimino / edito las reglas caso por caso. Recomendaría mantener reglas que no necesariamente cubran los productos que tiene, como el conjunto de reglas de Frontpage Extensions, a menos que tenga un procedimiento implementado en el que SI alguien comienza a desarrollar una aplicación de Frontpage impresionante, agregue las reglas apropiadas. Incluso si no hay forma de que alguna vez instales un producto / tecnología en tu red, puedes recibir una alerta cuando un script script Kid active un exploit para un producto que no tienes.

Así que me gusta comenzar con el conjunto de reglas predeterminado, ver los registros, eliminar o editar las reglas que producen falsos positivos, agregar otro conjunto de reglas, enjuagar y repetir.

    
respondido por el Antonius Bloch 31.05.2011 - 18:15
fuente
1

Sugeriría al implementar un IPS en un entorno para poner primero en modo pasivo. Primero debe ver qué tráfico está llegando para identificar qué tráfico es válido y qué no. Ya que ya habrá recopilado una lista de puertos y protocolos conocidos que necesitan que el tráfico ingrese a la red, lo hará más fácil.

Se necesita tiempo para ajustar un IPS. Realmente necesita comenzar de manera amplia y restringirla para asegurarse de que no afectará a ninguno de los negocios. Desea proteger su red, pero también necesita mantener el negocio funcional.

Yo diría que esto sería cierto antes de implementar cualquier dispositivo nuevo en la red para el que va a crear reglas que podrían afectar el tráfico en su red y, a su vez, afectar el negocio de su empresa.

    
respondido por el Ambar Batista 04.06.2011 - 23:16
fuente

Lea otras preguntas en las etiquetas

Explorando DVWA con w3af: no se puede detectar SQLi cuando la seguridad es baja AES-256 O RSA-2048 para la seguridad de la aplicación web?